Re: Interfaces virtuales requieren puerta de enlace tambien?

To: debian-user-spanish@lists.debian.org
Subject: Re: Interfaces virtuales requieren puerta de enlace tambien?
From: "Carlos Miranda Molina (Mstaaravin)" <cmiranda@ngen.com.ar>
Date: Tue, 01 Jun 2010 14:34:35 -0300
Message-id: <[🔎] 4C0544AB.50100@ngen.com.ar>
In-reply-to: <AANLkTilXJ4KOeu9kThF3r19ITd5Ny3_thx0wgSR6UtBc@mail.gmail.com>
References: <AANLkTilXJ4KOeu9kThF3r19ITd5Ny3_thx0wgSR6UtBc@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

PedroTron wrote:
> saludos.
> 
> Estoy tratando de implementar un firewall con shorewall como tengo 3
> direcciones publicas disponibles, deseo hacer uso de las mismas.
> 
> Ya tengo todas las IPs asignadas a mis servidor usando dispositivos
> virtuales
> 
> 
> eth0    = 200.1.2.2
> eth0:0 = 200.1.2.3
> eth0:1 = 200.1.2.4
> 
> Desde internet puedo acceder por cualquiera de las tres direcciones.
> 
> 
> auto eth0
> iface eth0 inet static
>     address 200.1.2.2
>     netmask 255.255.255.248
>     gateway 200.1.2.1
> 
> 
> auto eth0:0
> iface eth0:0 inet static
>     address 200.1.2.3
>     netmask 255.255.255.248
>     #gateway 200.1.2.1
> 
> 
> auto eth0:1
> iface eth0:1 inet static
>     address 200.1.2.4
>     netmask 255.255.255.248
>     #gateway 200.1.2.1
> 
> Mi problema esta cuando intento publicar algun servicio de un servidor
> detras del firewall usando una IP publica de las virtuales
> 
> Con la siguiente regla de shorewall busco publicar el escritorio remoto de
> un equipo de mi red local usando la segunda ip publica disponible
> (200.1.2.3) pero no funciona. Analizando con snort encuentro que el paquete
> si llega la estacion destino, pero no regresa.
> 
> DNAT:info    all    LAN:172.16.10.6    tcp    3389    -    200.1.2.3
> 
> Si uso la misma regla sin indicar la IP publica, funciona correctamente pues
> accede por la primera ip publica 200.1.2.2
> 
> Lo unico que encuentro distinto en las configuraciones de red, es que solo
> la primera ip publica tiene declarada la puerta de enlace,  mientras que las
> otras no.  Inicialmente tenia todas tres con la puerta de enlace (que es la
> misma), pero cuando el servidor se reinicio por problemas electricos ya no
> podiamos acceder a internet.  Comente las puertas de enlace de las dos
> interfaces virtuales (eth0:0 y eth0:1) y nuevamente funciono el acceso a
> internet.
> 
> Puede ser esa falta de puerta de enlace en las virtuales lo que me falta?
> no se supone que si no tienen puerta de enlace usaran la predeterminada (o
> sea la de eth0)?
> 
> Si las activo, puedo quedar sin internet; si no las activo, no puedo
> reenviar nada con las otras IPs.

La única vez que tuve el mismo escenario que el tuyo me encontré conque
por mas virtuales que sean las interfaces que levantas con ifconfig, las
reglas NAT sólo aplican a eth0, no a las eth0:X.
Yo uso Firehol para administrar iptables (nunca aprendí iptables), y no
tuve mas alternativa que utilizar iproute para declarar las distintas
IPs públicas sin depender de las interfaces virtuales de ifconfig.

Tienes el sitio oficial [0] en donde encontrarás la documentación
oficial de iproute, tambien tienes un pdf traducido al español [1] y por
supuesto, seguir buscando en internet.

Te sugiero compres el libro "Encaminamiento regulado con Linux" [2], lo
mejor que he leido para aprender iproute.

Saludos

[0] http://lartc.org/
[1] http://www.gulic.org/almacen/lartc/lartc.pdf
[2]
http://www.agapea.com/libros/Encaminamiento-regulado-con-Linux-isbn-8420530174-i.htm
- --
"La Voluntad es el único motor de nuestros logros"
http://ngen.com.ar/blog

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkwFRKsACgkQN6aCDIWi44B4ogCfT5uT6sZxrKtfArjaYtOmRwee
lYcAoM64Q6AoHEvh3IyOx1Dza9p22evH
=jhR5
-----END PGP SIGNATURE-----

Reply to:

Prev by Date: Spool de impresora
Next by Date: Re: Spool de impresora
Previous by thread: Re: Spool de impresora
Next by thread: Bloquear pantalla
Index(es):
- Date
- Thread